  |
|
|
 |
 Verständnis von SQL-Injections |
theromi 
Optimiert für IE > 3.2
Dabei seit: 01.09.2003
Beiträge: 858
Herkunft: Draußen vom Walde komm ich her...
 |
|
| Verständnis von SQL-Injections |
|
Hi,
ich beschäftige mich gerade ein wenig mit SQL-Injections und schätze, nach Lektüre von Wikipedia und den weiterführenden Links, dass ich es grundlegend verstanden habe. Nun wollte ich mit ein paar "Reallife"-Exploits angucken um mal zu testen, ob ich die verstehe.
Ein Beispiel (ein Exploit, mit dem ich selber mal getroffen wurde 
):
| Zitat: |
http://www.xxx.com/?page_id=115&forumaction=showprofile&User=1+union+select
+null,concat(user_login,0x2f,user_pass,0x2f,user_email),null,null,null,null
,null+from+wp_tbv_users/* |
Gut, "User" ist offensichtlicht der unüberprüfte Schwachpunkt im PHP-Script. "Union Select" ist mir auch klar, genauso wie concat. 0x2f ist ein Slash im Ascii-Code, wird also als optisches Trennzeichen verwendet. Hier tritt aber die erse Frage auf: Okay, ich kann nicht einfach einen Slash da hin schreiben, ist ja eine URL. Aber muss ich das bei jedem Sonderzeichen machen (also durch den Hex-Code im ASCII ersetzten), oder nur bei diesen, die auf natürliche Weise in URLs leben? 
Das Zweite was ich nicht verstehe sind die ganzen Kommas mit anschließenden "null"s. Da kann ich mir gar keinen Reim drauf bilden, wie wo und warum die da auftreten müssen. Vielleicht kann da ja einer Licht ins dunkel bringen.
Danke schonmal,
Roman
__________________
Eine Entwicklung scheint zu sein, dass man als Heranwachsender links ist, später wird man liberal und kurz bevor man stirbt ist man superkonservativ. Wenn diese Theorie aufgeht, bin ich von meinem Tod noch sehr weit entfernt.
Farin U.
|
|
19.05.2009 19:32 |
|
|
Zyrus
Exil-Wessi
Dabei seit: 01.04.2003
Beiträge: 538
Herkunft: Around The World
|
|
Mit SQL bist du nicht vertraut, oder ?
mit "null" wird nur die jeweilige Spalte definiert.
Greetz
Zyrus
__________________
Der Computer arbeitet deshalb so schnell, weil er nicht denkt.- Gabriel Laub -
|
|
|
19.05.2009 21:44 |
|
|
LX
El Comandante en Jefe
Dabei seit: 25.11.2001
Beiträge: 5.372
Herkunft: Berliner Bronx
|
|
| Zitat: |
Original von Zyrus
Mit SQL bist du nicht vertraut, oder ?
mit "null" wird nur die jeweilige Spalte definiert. |
Ich denke, soweit kann er sich das schon zusammenreimen. Die Frage ist nur, warum man null selektieren sollte.
Hier gehe ich aber davon aus, dass man auch den Code kennen müsste, dessen Schwachstelle die Injection ausnutzt. Je nach dem, was man machen möchte, besteht eine Injection ja aus mehreren Teilen. Wenn man eine Datenbankabfrage nur umgehen möchte (z.B. eine Prüfung auf einen bestimmten Feldwert) oder man etwas in die Datenbank schreiben möchte, was nicht reingehört, dann genügt ein einfaches ergänztes SQL-Statement. Möchte man hingegen Werte aus der Datenbank auslesen, so müssen die natürlich auf einer Seite auch noch irgendwo angezeigt werden und nicht einfach in einem PHP- oder MySQL-Fehler untergehen.
In diesem konkreten Fall gehe ich mal davon aus, dass das Ergebnis des Queries in einer HTML-Tabelle ausgegeben werden soll, deren Spalten numerisch aus einem Resultset befüllt werden (also z. B. "<td>$resultrow[3]</td>"). Damit nun der ausgelesene Wert in einer vernünftigen Spalte landet, simuliert die ergänzte SELECT-Abfrage ein paar leere Spalten und den interessanten Part eben in einer Spalte, die vermutlich breit genug für die Anzeige ist.
So zumindest meine Deutung, für alles andere bräuchte man in der Tat den dahinter stehenden Code.
__________________
JS-Games.de - Misled Scripting Skills Gone Mad | Meine Filmkritiken | Urban Photography
Kommt mal in den IRC-Channel: irc.eu.freenode.net | Port 6667 | #blackboard
"Ever tried. Ever failed. No matter.
Try again. Fail again. Fail better."
- Samuel Beckett
|
|
|
20.05.2009 00:22 |
|
|
theromi
Optimiert für IE > 3.2
Dabei seit: 01.09.2003
Beiträge: 858
Herkunft: Draußen vom Walde komm ich her...
Themenstarter 
|
|
So, endlich mal wieder ein bisschen Zeit
Ja, genau, LX hat mir da schon weitergeholfen. Macht Sinn
| Zitat: |
| Wenn man eine Datenbankabfrage nur umgehen möchte (z.B. eine Prüfung auf einen bestimmten Feldwert) oder man etwas in die Datenbank schreiben möchte, was nicht reingehört, dann genügt ein einfaches ergänztes SQL-Statement. |
Und genau das habe ich bei mehreren Lücken ausprobiert und es hat nie funktioniert. Führt PHP vllt. keine zwei Statements in einer Anweisung aus?
__________________
Eine Entwicklung scheint zu sein, dass man als Heranwachsender links ist, später wird man liberal und kurz bevor man stirbt ist man superkonservativ. Wenn diese Theorie aufgeht, bin ich von meinem Tod noch sehr weit entfernt.
Farin U.
|
|
|
30.05.2009 14:12 |
|
|
LX
El Comandante en Jefe
Dabei seit: 25.11.2001
Beiträge: 5.372
Herkunft: Berliner Bronx
|
|
mysql_query() führt nur eine einzelne Abfrage aus, ja.
__________________
JS-Games.de - Misled Scripting Skills Gone Mad | Meine Filmkritiken | Urban Photography
Kommt mal in den IRC-Channel: irc.eu.freenode.net | Port 6667 | #blackboard
"Ever tried. Ever failed. No matter.
Try again. Fail again. Fail better."
- Samuel Beckett
|
|
|
30.05.2009 14:42 |
|
|
|
|
|
|
|
